Bộ Công an, Bộ Quốc phòng vào cuộc kiểm ra an ninh app PC-Covid

Cục An toàn thông tin đã mời các đơn vị liên quan của Bộ Công an, Bộ Quốc phòng nhằm đánh giá tính bảo mật, các quyền truy cập của ứng dụng PC-Covid.

Cục An toàn thông tin (thuộc Bộ Thông tin & Truyền thông) cho biết cơ quan này đã mời các đơn vị về an toàn, an ninh thông tin của Bộ Công an, Bộ Quốc phòng và Hiệp hội An toàn thông tin Việt Nam để kiểm tra, đánh giá về các quyền mà ứng dụng PC-Covid sử dụng.

Theo chia sẻ của Cục An toàn thông tin, sau khi có đánh giá chi tiết, các bên đã đi đến kết luận chung là chưa phát hiện ứng dụng PC-Covid thu thập thông tin của người dùng ngoài phạm vi các chức năng đã được mô tả, công khai.

Cụ thể, các đơn vị tham gia đánh giá gồm Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an), Bộ tư lệnh Tác chiến không gian mạng (Bộ Quốc phòng), Hiệp hội An toàn thông tin Việt Nam VNISA.

Báo cáo cho biết các hệ điều hành thường có cơ chế cấp quyền theo cụm, ví dụ quyền sử dụng Bluetooth và quyền truy cập vị trí đi kèm với nhau trên hệ điều hành Android, hay quyền truy cập ảnh thường gắn với nhóm các dữ liệu khác gồm âm thanh, video và các tập tin.

"Ngoài kiểm tra phần mềm đóng gói, chúng tôi đặc biệt yêu cầu kiểm tra mã nguồn của nhà phát triển. Chúng tôi dùng các công cụ rất tốt, cùng kỹ năng của cán bộ có chuyên môn, kinh nghiệm để xem xét từng dòng lệnh", Đại tá Nguyễn Trọng Thái, Trưởng phòng An toàn Thông tin thuộc Bộ tư lệnh Tác chiến không gian mạng chia sẻ.

PC-Covid yêu cầu các quyền truy cập để đảm bảo tính năng chống dịch.

Đối với nhóm quyền truy cập vị trí và kết nối Bluetooth, PC-Covid dùng Bluetooth năng lượng thấp (BLE) để ghi nhận tiếp xúc gần. Nhóm kiểm tra kết luận không có dấu hiệu cho thấy PC-Covid khai thác vị trí người dùng.

Trên nền tảng iOS, quyền Bluetooth không gắn liền với quyền truy cập vị trí như Android. Tuy nhiên, PC-Covid trên iPhone lại dùng giao thức iBeacon để ghi nhận tiếp xúc, và giao thức này cần quyền truy cập vị trí. Do vậy, app PC-Covid trên iPhone vẫn yêu cầu truy cập vị trí của người dùng, nhưng không khai thác.

Đối với quyền truy cập thông báo trên Android, nhóm kiểm tra nhận định quyền này để đảm bảo ứng dụng không bị dừng hoạt động trong nền. Nếu không cấp quyền này, app có thể hoạt động kém ổn định.

Nhóm kiểm tra cũng khẳng định ứng dụng không đọc nội dung thông báo của người dùng.

Hai quyền còn lại là sử dụng camera và truy cập ảnh, video, âm thanh và tệp nhằm phục vụ tính năng quét mã QR, lưu hình ảnh để sử dụng khi không có mạng. Trong thời gian tới, tính năng Gửi phản ánh được bổ sung cũng cần quyền này để người dùng có thể lưu, gửi kèm ảnh, video về lỗi phần mềm hoặc thông tin tiêm chủng, xét nghiệm.

Nhóm kiểm tra cho biết ứng dụng PC-Covid được kiểm soát qua 4 cơ chế, gồm hệ điều hành, chợ ứng dụng, đội ngũ phát triển và cơ quan có thẩm quyền.

Trong buổi chia sẻ, đại diện Cục An toàn thông tin cũng cho biết khi có mỗi phiên bản cập nhật, với các thay đổi về quyền truy cập thì ứng dụng đều được đánh giá lại.

PV (T/h)